Когда бизнесмен думает о своем интернет-магазине, у него в мечтах надежный, стабильно работающий сайт, который приносит постоянный доход. Но на практике происходит далеко не так. Боты, конкуренты, парсеры, спамеры — злейшие враги, которые «тормозят» сайт, резко уменьшают прибыль и прибавляют головную боль. Лучше заранее позаботиться о том, чтобы обезопасить свой интернет-магазин, чем потом судорожно метаться в поисках спасителя для пациента.
Что может быть, если не защищаться
Вот 3 примера из нашей практики: надеемся, они смотивируют вас задуматься, как обезопасить свой интернет-магазин и защитить сайт от взлома. Если бы вовремя не были предприняты меры, то это грозило бы следующими проблемами:- Кража шаблона интернет-магазина и готового контента.
- Угон клиентской базы.
- Простой интернет-магазина без продаж.
- Убытки от контекстной рекламы, ведущей на неработающий сайт.
1. Ну мы же доверяли…
Компания N продавала через интернет-магазин детские игрушки. Все шло очень хорошо: 15–20 заказов в день, средний чек — 2 000 руб. Жили-поживали и горя не знали. Доступ к административной панели был у трех человек. Причем о правах на сайте никто не задумывался. И вот один из этих сотрудников уволился. После его увольнения были сменены все пароли администраторов. Проходит 2 месяца, и случайным образом выясняется, что в сети появился клон сайта, закрытый от индексации. Мы сделали аудит учетных записей, и оказалось, что до увольнения тот самый сотрудник завел ничем не приглядного пользователя с максимальными правами. По логам было видно, что бэкап сайта он делал каждую неделю и заливал данные на клонированный сайт. Как выяснилось позже, кража сайта была сделана уволенным сотрудником, чтобы:- слить базу клиентов за вознаграждение конкурентам;
- иметь готовый шаблон сайта (который стоил несколько сотен тысяч) для дальнейшего запуска самостоятельного бизнеса.
Мораль: доверяй, но защищай.
2. Живу, никому не мешаю
У нас на сопровождении есть клиент, который продает бытовую технику через интернет-магазин. Перед тем как сайт попал в топовые позиции выдачи Яндекса и Google, все было неплохо. Обмен сайта с 1С (более 25 тысяч товаров) проходил за 2–3 часа, «1С-Битрикс» оценивал скорость работы сайта похвальной отметкой «Быстро». Мы активно вели работы по SEO-оптимизации, заливали уникальный интересный контент (да-да, это тоже здорово умеем, обращайтесь). Сайт «возмужал» и, видимо, начал создавать кому-то серьезную конкуренцию. Приближался Новый год — горячая пора онлайн-продаж. От клиента начали все чаще поступать жалобы на скорость работы сайта. Обмен с 1С длился от 5 до 10 часов, скорость работы сайта с «Быстро» поменялась на «Очень медленно». Работать с заполнением сайта информацией стало невыносимо. Ошибка с базой данных «DB query error» начала появляться все чаще и чаще. И самое неприятное — количество заказов уменьшилось более чем в 2 раза, со 100 до 40. Сначала подозрение пало на хостера (жесткие диски и их контроллер, память и т. п.). Сделали заявку, техническая поддержка уверенно ответила: «С нашей стороны проблем нет!» После аудита базы данных выяснилось, что в одну из таблиц каждые 2–3 секунды записывалась информация. Это была таблица, отвечающая за сбор информации с форм обратной связи. Причем на форме была капча. Далее начался глубокий анализ логов Apache, взяли временной интервал с 3.00 до 9.00 часов. И вот она зацепка. За 6 часов в логах было более 22 000 уникальных IP-адресов. Наша техническая поддержка сделала дополнительную настройку Apache для защиты от ботов, а также необходимые настройки со стороны административной панели «1С-Битрикс». После этого обмен с 1С и скорость работы сайта нормализовались. Клиент был счастлив, что новогодние продажи не сорвались и прошли на ура.Мораль: защищайтесь от ботов и не знайте заботы!
3. Крыса на сайте
На техподдержку пришел клиент, который остался очень недоволен работой предыдущих разработчиков. Крупный каталог домов и коттеджей под ключ на платформе «1С-Битрикс». Расставание было очень тяжелым и нервным. Клиент переживал, не оставили ли прежние разработчики каких-либо слабых мест на сайте. Наши программисты провели полный аудит сайта, в результате которого выяснилось, что в коде была сделана закладка, которая позволяла заходить в административную часть сайта без пароля. Для чего это было сделано, остается только догадываться… Человек, который имел доступ к этому сайту, мог скачать себе базу клиентов с контактными данными, каталог и сам шаблон сайта для дальнейшей продажи. Но своевременное выявление проблемы помогло избежать этих печальных последствий.Мораль: расстались? Проверьтесь!
Как защитить свой сайт от взлома
Безопасным можно назвать интернет-магазин, который стабильно работает и надежно защищен от происков злоумышленников. Как защитить сайт от парсинга и хакеров? Вот наши рекомендации.- Делайте регулярное копирование сайта и баз данных — бэкап. Причем храните копии хотя бы за 3–5 дней.
- Разграничивайте права доступа на сайте. Если сотрудник размещает картинки и текст на сайте, то не нужно давать ему права администратора сайта.
- Соблюдайте требования безопасности разработчиков CMS (системы управления) сайта. Используйте готовые инструменты и возможности такой системы.
- Делайте тестирование системы, обращайте внимание на ее производительность и ошибки.
- На все бэкапы сайта устанавливайте пароль не менее 8 символов. Не используйте короткие и простые пароли, усложните задачу злоумышленнику.
- Храните бэкапы в защищенном месте, которое известно только вам и тем, кому вы доверяете.
- Не храните пароли в открытом доступе (в файле блокнота на рабочем столе), используйте специализированные программы хранения паролей (KeePass, TeamPass), в которых пароли шифруются. Браузер или клиентские программы FTP — также не лучший выбор для хранения паролей, т. к. с помощью вредоносных программ или сетевой атаки легко их выкрасть. Мы также не рекомендуем записывать пароли на бумажке и класть ее на стол или под клавиатуру: если к вашему рабочему месту имеют доступ посторонние люди, пароли могут быть похищены.
- Не передавайте пароли по открытым каналам связи, таким как мессенджеры и электронная почта. А если уж решили отправить таким способом, то зашифруйте пароль с помощью программы WinRAR.
- Устанавливайте на рабочие станции антивирусные программы и не забывайте обновлять их базы.
- Используйте протокол HTTPS на сайте, чтобы Яндекс и Google тоже были спокойны за безопасность вашего сайта.
Подробнее о том, что такое протокол HTTPS и зачем он нужен читайте в статье «Зачем нужен SSL-сертификат и переход сайта на HTTPS».
- Для обеспечения безопасности интернет-магазина при подключении по протоколу SSH используйте не пароль, а RSA ключи. Также можно поменять стандартный порт подключения SSH 22, например, на 55522.
- Своевременно устанавливайте обновления для CMS и для операционной системы своего ПК.
Как говорится, «За безопасность нужно платить, а за ее отсутствие расплачиваться!» Если вы хотите защитить свой сайт, мы всегда готовы взять его на техническое сопровождение. У наших специалистов большой опыт настройки безопасных интернет-магазинов на разных платформах. Тарифы на сопровождение сайтов и технический аудит Желаем вашему интернет-магазину только надежной работы и высокой прибыли!